Risikobasiertes Denken ISO 9001:2015

Kirsch Managementsysteme Interim Management & Consulting in Niestetal, Kassel, Hessen - ISO DIS 9001-2014 - High Level Structure, Korrelationsmatrix, prozessorientiertes Qualitätsmanagementsystem, prozessorientierter Ansatz, risikobasierter Ansatz, risikobasiertes Denken, PDCA-Zyklus, Ziele der Revision, Zeitplan, wesentliche Änderungen,  dokumentierte Information, geforderte Nachweise - Wertschöpfung steigern. Ganzheitlich. Nachhaltig.
Risikobasiertes Denken in ISO 9001:2015

Die Mutter aller Managementsystemnormen – ISO 9001 – führt das risikobasierte Denken als eine Hauptänderung mit neuen Anforderungen ein. Risiken und Chancen sollen in einem immer dynamischer und komplexer werdenden Umfeld beim Erstellen, Einführen, Aufrechterhalten und bei der fortlaufenden Verbesserung des Qualitätsmanagement- systems und dessen Prozessen berücksichtigt werden.
Teil 5 der Reihe ISO/DIS 9001:2014 erläutert die neuen Anforderungen des risikobasierten Denkens, klärt den Zusammenhang mit der Prozessorientierung und dem PDCA-Zyklus, erläutert den Nutzen des risikobasierten Denkens für Unternehmen und dessen Kunden und gibt Umsetzungsanleitungen für das risikobasierte Denken.

Bisher veröffentlicht:
Teil 1: Ziele der Revision, Zeitplan, Übergangsfristen
Teil 2: High Level Structure für alle Managementsystemstandards
Teil 3: Prozessorientierter Ansatz
Teil 4: PDCA-Zyklus
 

Was ist risikobasiertes Denken?

Bereits ISO 9001:2008 erwähnt unter 0.1 Allgemeines Risiken im Zusammenhang mit dem Umfeld des Unternehmens, enthält aber keine spezifizischen Anforderungen betreffend Risiken oder Risikomanagement.
ISO/DIS 9001:2014 erhöht mit Punkt 0.5 Risikobasiertes Denken die Bedeutung von Risiken und Chancen (Verbesserungen, Gelegenheiten [Opportunities]) in Verbindung mit dem Kontext (Umfeld, Rahmenbedingungen) und den Zielen des Unternehmens. Das risikobasierte Denken bezieht sich auf das gesamte Qualitätsmanagementsystem und dessen Prozesse. Risiken und Chancen werden zum Pflichtbestandteil bei der Betrachtung von Prozessen und deren Wechselwirkungen. Den Schwerpunkt bildet der Entstehungsprozess und Lebenszyklus von Produkten und Dienstleistungen. Planung und Lenkung der Prozesse und des QM-Systems sowie die erforderlichen Maßnahmen sind abhängig von den jeweiligen Risiken und Chancen. Das risikobasierte Denken ist Bestandteil der Prozessorientierung und des PDCA-Zyklus. Das umfassende risikobasierte Denken in ISO 9001:2015 ersetzt Punkt 8.5.3 Vorbeugungsmaßnahmen aus ISO 9001:2008. Risikobasiertes Denken, die Betrachtung von und der Umgang mit Risiken und Chancen wird als Vorbeugung gegen das Eintreten unerwünschter Ereignisse verstanden.
Bei zukünftigen Erstzertifizierungen, Überwachungsaudits und Wiederholungsaudits nach ISO 9001:2015 ist nachzuweisen, wie die Anforderungen des risikobasierten Denkens umgesetzt wurden.
ISO/DIS 9001:2014 Punkt 3.9 bzw. ISO/DIS 9000:2014 Punkt 3.7.8 definiert Risiko als Auswirkung von Ungewissheit auf ein erwartetes Ergebnis. Die Auswirkung selbst ist eine negative (Risiko) oder positive (Chance) Abweichung vom Erwarteten. Ungewissheit ergibt sich durch das Fehlen von Informationen, Fehlen des Verständnisses für und Wissen um ein Ereignis und dessen Folgen oder Wahrscheinlichkeit. Risiken stehen somit für mögliche Ereignisse und deren mögliche Auswirkungen bei deren Eintreten. Der risikobasierte Ansatz steht für

  • proaktives (vorbeugendes) Tun anstelle Reaktion auf Ereignisse
  • ein Qualitätsmanagementsystem als vorbeugendes Instrument
  • das Verhindern oder Verringern unerwünschter Ereignisse
  • ein effektiveres und effizienteres Erreichen konsistenter und vorhersehbarer Ergebnisse
  • „Vorbeugungsmaßnahmen“ anstelle Korrekturen und Korrekturmaßnahmen
  • die Berücksichtigung von Risiken und Chancen bei der strategischen Planung, der operativen Umsetzung und deren Bewertung
  • verbesserte Fähigkeit zur Wertschöpfung durch gemeinsames Nutzen von Ressourcen und Kompetenz (Wissen) sowie Leiten und Lenken qualitätsbezogener Risiken.

Welchen Nutzen hat risikobasiertes Denken?

Risikobasiertes Denken, prozessorientierter Ansatz und PDCA-Zyklus ergänzen sich gegenseitig. Mittels konsequentem Tun sichern sie die ganzheitliche und nachhaltige Steigerung der Wertschöpfung eines Unternehmens. Erfolgreiche Unternehmen profitieren vom risikobasierten Denken durch

  • erhöhtes Vertrauen der Kunden und deren Kundenzufriedenheit
  • sichern einer beständigen Qualität von Produkten und Dienstleistungen, d.h. weniger Fehl- oder Blindleistung, weniger Verschwendung
  • unterstützen einer proaktiven Kultur der Vorbeugung und Verbesserung
  • sicherstellen eines größeren Wissens und der Bereitschaft für möglicherweise eintretende Ereignisse
  • erhöhte Wahrscheinlichkeiten für das Erreichen von Zielen
  • verringern der Wahrscheinlichkeit für negativ abweichende Ergebnisse.

Welche neuen Anforderungen stellt risikobasiertes Denken?

Risikobasiertes Denken fordert und fördert eine Berücksichtigung von Risiken und Chancen beim Planen (Plan), Durchführen (Do), Prüfen (Check) und Handeln (Act) der für das Qualitätsmanagementsystem benötigten Prozesse und deren Wechselwirkungen.
Die neuen Muss-Anforderungen des risikobasierten Denkens ergeben sich im Wesentlichen aus Punkt 4.4 Qualitätsmanagementsystem und dessen Prozesse. Speziell sind für die Sicherstellung der Zielerreichung und Verhinderung unerwünschter Ergebnisse

  • die Risiken und Chancen der Prozesse zu berücksichtigen und entsprechende Maßnahmen zum Umgang mit Risiken und Chancen zu planen und umzusetzen
  • die Chancen zur Verbesserung der Prozesse und des Qualitätsmanagementsystems zu bestimmen.

Punkt 6.1 Maßnahmen zum Umgang mit Risiken und Chancen fordert, daß bei Planungen des QM-Systems

  • die in Punkt 4.1 Verstehen der Organisation und ihres Kontextes genannten internen und externen Themen mit Relevanz für die Unternehmensstrategie und mit Auswirkung auf die Fähigkeit Ergebnisse (Leistungen) zu erreichen, zu bestimmen sind (Strategie und deren Weiterentwicklung, Stärken-Schwächen-Chancen-Risiken-Analyse SWOT, Balanced Scorecard BSC, Engpassanalyse, Porters Five)
  • die in Punkt 4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien genannten interessierten Parteien und deren für das QM-System relevante Anforderungen zu bestimmen sind (Lastenheft, Pflichtenheft, Gesetze, Verordnungen, Richtlinien, Studien, Umfragen)
  • die Risiken und Chancen der Prozesse zu berücksichtigen sind, entsprechende Maßnahmen zum Umgang mit Risiken und Chancen zu planen sind, umzusetzen sind und deren Wirksamkeit zu bewerten sind (Risikomanagementprozess, Risikomatrix).

Punkt 5.1 Führung und Verpflichtung verpflichtet die oberste Leitung sicherzustellen, daß

  • Risiken und Chancen, welche die Konformität von Produkten und Dienstleistungen, sowie die Fähigkeit zur Verbesserung der Kundenzufriedenheit beeinflussen können, bestimmt und berücksichtigt werden.

Punkt 8.1 Betriebliche Planung und Steuerung fordert Prozesse, welche die Risiken der betrieblichen Planung und Steuerung identifizieren und bearbeiten. Auf diese Weise sind

  • Prozesse und Maßnahmen zur Erfüllung der Anforderungen an die Bereitstellung von Produkten und Dienstleistungen unter Berücksichtigung von Punkt 4.4 und 6.1 zu planen, umzusetzen und zu steuern.

Dies entspricht im Wesentlichen den bereits in ISO 9001:2008 geforderten Tätigkeiten der Verifizierung, Validierung, Überwachung, Messung, Prüfung sowie Kriterien für die Produktannahme. In der Praxis handelt es sich um Qualitätsvorausplanung, FMEA, Fehlerbaumanalyse, Betrachtung von Projektrisiken sowie Bewertung, Verifizierung und Validierung jeder Entwicklungsphase.
Der neue Punkt 8.5.5 Tätigkeiten nach der Lieferung erweitert die bereits in ISO 9001:2008 unter Punkt 7.2.1 Ermittlung der Anforderungen in Bezug auf das Produkt enthaltene Anmerkung betreffend Tätigkeiten nach der Lieferung.

  • Soweit zutreffend, sind Anforderungen an Tätigkeiten in Verbindung mit den Produkten und Dienstleistungen nach der Lieferung unter Berücksichtigung der Risiken zu erfüllen.

Tätigkeiten nach der Lieferung können Tätigkeiten aufgrund von Gewährleistungsbestimmungen, vertragliche Pflichten wie Instandhaltung und ergänzende Dienstleistungen wie Wiederverwertung oder Entsorgung sein.
 
Punkt 9 Bewertung der Leistung verpflichtet das Unternehmen bezüglich Risiken und Chancen festzulegen

  • was zu überwachen und zu messen ist
  • welche Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, einzusetzen sind um gültige Ergebnisse sicherzustellen
  • wann das Überwachen und Messen durchzuführen ist
  • wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind.

Punkt 9.3.1 Managementbewertung fordert speziell von der obersten Leitung, der Unternehmensführung, die Beschäftigung mit Risiken und Chancen, d.h.

  • das Qualitätsmanagementsystem in geplanten Abständen zu bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen
  • die Wirksamkeit von Maßnahmen zur Behandlung von Risiken und Chancen, vgl. Punkt 6.1, zu bewerten
  • neue potentielle Chancen zur fortlaufenden Verbesserung zu bewerten.

Punkt 10 Verbesserung fordert vom Unternehmen die Notwendigkeit oder die Chancen für Verbesserungen innerhalb des Qualitätsmanagementsystems zu bestimmen, d.h.

  • die Chancen zur Verbesserung zu bestimmen, auszuwählen und die notwendigen Tätigkeiten umzusetzen, um die Anforderungen des Kunden zu erfüllen und die Kundenzufriedenheit zu verbessern
  • soweit zutreffend Prozesse zu verbessern, um Nichtkonformitäten zu verhindern
  • soweit zutreffend Produkte und Dienstleistungen zu verbessern, um bekannte und vorhergesagte Anforderungen zu erfüllen
  • soweit zutreffend die Ergebnisse des Qualitätsmanagementsystems zu verbessern.

Die Verbesserung kann reaktiv (Korrekturmaßnahmen), schrittweise (fortlaufende Verbesserung), sprunghaft (Durchbruch), kreativ (Innovation) oder durch Neuorganisation (Transformation) erfolgen.
 
Punkt 10.3 Fortlaufende Verbesserung fordert vom Unternehmen

  • Eignung, Angemessenheit und Wirksamkeit des Qualitätsmanagementsystems fortlaufend zu verbessern
  • Ergebnisse von Analysen, Beurteilungen und Managementbewertung zu berücksichtigen, um Chancen als Teil der fortlaufenden Verbesserung zu behandeln
  • soweit zutreffend, geeignete Hilfsmittel und Methoden zur Unterstützung der fortlaufenden Verbesserung auszuwählen und anzuwenden.

Der informelle Anhang A von ISO/DIS 9001:2014 verweist unter A.7 Wissen der Organisation auf Punkt 7.1.5 Wissen der Organisation, daß

  • der Prozess zur Berücksichtigung und Steuerung des früheren, bestehenden und zusätzlichen Wissensstands den Kontext der Organisation berücksichtigen muss, einschließlich ihrer Größe und Komplexität, der Risiken und Chancen, die sie zu beachten hat, und der Notwendigkeit für den Zugang zu diesem Wissen.

Anhang A.8 verweist auf den zugehörigen Punkt 8.4 Kontrolle von extern bereitgestellten Produkten und Dienstleistungen und fordert nicht nur für die interne, sondern auch für die externe Wertschöpfungskette

  • einen risikobasierten Ansatz anzuwenden, um die Art und den Umfang der Lenkung zu bestimmen, die/der für den jeweiligen externen Anbieter und die extern bereitgestellten Produkte und Dienstleistungen geeignet ist (Beschaffungsrisiken, Logistikrisiken, Lieferantenentwicklung, Risiken von Produkt und Dienstleistung).

Wie lassen sich risikobasiertes Denken und dessen Anforderungen wirksam umsetzen?

ISO/DIS 9001:2014 fordert Risiken und Chancen im Kontext des Unternehmens zu verstehen. Es gibt nach ISO/DIS 9001:2014 jedoch keine Anforderung für ein formelles (und zu zertifizierendes) Risikomanagement(system) oder einen dokumentierten Risikomanagementprozess.
Punkt 0.5 Risikobasiertes Denken verweist darauf, daß sich Unternehmen abhängig von ihrem Kontext für einen umfangreicheren risikobasierten Ansatz als den von ISO/DIS 9001:2014 entscheiden können. ISO 31000:2009 Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements wird als Leitlinie zum formellen Risikomanagement angeführt. Die risikobezogenen Definitionen in ISO/DIS 9001:2014 Qualitätsmanagementsysteme — Anforderungen und ISO/DIS 9000:2014 Qualitätsmanagementsysteme – Grundlagen und Begriffe verweisen auf den ISO Guide 73:2009 Risk management – Vocabulary.
Die Zusammenfassung der Anforderungen des risikobasierten Denkens aus ISO/DIS 9001:2014 ergibt, daß Risiken und Chancen

  • zu identifizieren sind
  • zu analysieren sind
  • zu bewerten sind
  • zu bewältigen sind (vermeiden, vermindern, übertragen, selbst tragen), vgl. auch Anmerkung zu 6.1 Maßnahmen zum Umgang mit Risiken und Chancen
  • Maßnahmen festzulegen und umzusetzen sind
  • die Wirksamkeit der Maßnahmen zu überwachen ist
  • Risiken und Chancen zu kommunizieren sind (Berichte, Managementreview)
  • aus Erfahrung zu lernen ist (Lessons Learned).

Dies entspricht dem Umfang eines systematischen Risikomanagementprozesses! Es besteht jedoch keine Anforderung seitens ISO/DIS 9001:2014 diesen systematischen Risikomanagementprozess zu dokumentieren. Andererseits sind Nachweise zu führen, wie die Anforderungen betreffend Risiko und Chancen (Verbesserung) wirksam und effizient umgesetzt werden. Da für ein wirksames und lebendiges risikobasiertes Denken auch die Bewusstseinsbildung durch Schulungen, Prozessfestlegungen usw. maßgeblich ist, lässt der ISO/DIS 9001:2014 die Anwender hier allein, „ein bischen schwanger geht nicht“.
Empfehlung: Dokumentieren Sie einen Risikomanagementprozess. Er bildet den Kern des Risikomanagement und ist die systematische und kontinuierliche Auseinandersetzung mit den individuellen Risikopotenzialen und Chancen des Unternehmens. Dieser Risikomanagementprozess ergänzt das bereits bestehende Qualitätsmanagementsystem. Das Risikomanagement ist Aufgabe der Unternehmensführung. Bei systematischer Einführung und konsequentem Leben des Risikomanagementprozesses besteht der Nutzen in der Leistungssteigerung und Effizienzverbesserung des Unternehmens. Die bessere Einschätzung von Risiken und deren Auswirkung auf strategische und operative Ziele des Unternehmens führt zu kleineren, kontrollierbaren Restrisiken, erhöht Handlungsspielräume und steigert die Wertschöpfung ganzheitlich und nachhaltig.
 
Risikobasiertes Denken, Risikomanagementprozess, Risiken identifizieren, ermitteln, analysieren, bewerten, beurteilen, Maßnahmen festlegen und umsetzen, Wirksamkeit der Maßnahmen bewerten, Risiken und Chancen kommunizieren, Lernen, Lessons Learned - Kirsch Managementsysteme Interim Management & Consulting in Niestetal, Kassel, Hessen - Risikomanagementsystem ISO 31000, Interim Risikomanager, Interim Riskmanager, Umsetzungsberater Risikomanagement, externer Risikomanagementbeauftragter RMB, Audit Risiko, Risikomanagementprozess, Risikomatrix, Automotive, Non-Automotive, Transportation Railway, Metall, Kunststoff, Elektrotechnik, Assembly, Service, KMU und Konzerne, Serienprojekte, Sonderprojekte, Organisationsprojekte
 
Detaillierte Informationen zum Risikomanagementprozess bietet unsere 5-teilige Reihe zum Risikomanagement.

Details für die Umsetzung des risikobasierten Denkens betreffend Risiko und Chancen bietet auch ISO 9004:2009 Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – ein Qualitätsmanagementansatz, der bereits das risikobasierte Denken mittels Risiken berücksichtigt mit

  • Punkt 4.2 Nachhaltiger Erfolg
  • Punkt 5.3 Umsetzung von Strategie und Politik
  • Punkt 6 Management von Ressourcen, speziell 6.2 Finanzielle Ressourcen, 6.4 Lieferanten und Partner (für das Risiko in Wertschöpfungsketten), 6.5 Infrastruktur, 6.7 Wissen, Information und Technologie
  • Punkt 7.2 Prozessplanung und Prozesslenkung
  • Punkt 8 Überwachung, Messung, Analyse und Bewertung, speziell 8.3.2 Entscheidende Leistungskenngrößen (KPI), 8.3.3 Internes Audit
  • Punkt 9 Verbesserung, Innovation und Lernen, speziell 9.3 Innovation und 9.4 Lernen
  • informativer Anhang B Grundsätze des Qualitätsmanagements, speziell B.7 6.Ständige Verbesserung und B.8 7.Sachbezogener Ansatz zur Entscheidungsfindung (ZDF = Zahlen, Daten, Fakten).

Vom ISO/TC 176/SC2 selbst gibt es die Veröffentlichungen ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking und ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015. Beide Veröffentlichungen bieten Hintergrundwissen für das Verständnis des risikobasierten Denkens, insbesondere hinsichtlich des Risikomanagementprozesses.
Zwei weitere Quellen zur Einarbeitung in das risikobasierte Denken und das Risikomanagement sind ISO GUIDE 73:2009 Risk management – vocabulary, der eine Sammlung der wichtigsten Begriffe und Definitionen zum Risikomanagement enthält sowie ISO 31000:2009 Risikomanagement als Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements.
 
Unabhängig davon sind die aktuellen Prozessbeschreibungen um den Punkt Risiken und Chancen zu erweitern. Welche Risiken bzw. Chancen hat der Prozess? Welche Folgen bzw. Auswirkungen gibt es? Sind die Auswirkungen minimal oder existenzgefährdend? Wie sieht die Risikolandschaft, d.h. die Gesamtheit der Risiken und Chancen aller Prozesse aus? Welche Risiken bzw. Chancen stehen in Wechselwirkung bzw. beeinflussen sich gegenseitig?
Die strategisch relevanten Prozesse des Unternehmens sind bei der Betrachtung von Risiken und Chancen zu priorisieren. Der Risikomanagementprozess mit all seinen Schritten ist auf diese relevanten Prozesse zuerst anzuwenden.
Die Anforderungen des risikobasierten Denkes sind auch bei der Planung und Durchführung der internen Audits umzusetzen. Die Audits bilden eine der wichtigsten Eingaben für das Managementreview der obersten Leitung. Die Auditorenqualifikationen sind für wirksame Audits um das Thema Risiken und Chancen zu erweitern. In diesem Zusammenhang ist insbesondere ISO 19011:2011 Leitfaden zur Auditierung von Managementsystemen wichtig, der bereits ein Risikokonzept für Audits (risikobasiertes Auditieren) beinhaltet. Punkt 7.2.3.3 Disziplin- und branchenspezifisches Wissen und Fertigkeiten von Auditoren für Managementsysteme erwähnt Grundlagen des Risikomanagements, Verfahren und Techniken in Bezug auf die Disziplin und die Branche, um den Auditor zu befähigen, die Risiken, die mit dem Auditprogramm verbunden sind, zu bewerten und zu kontrollieren. ISO 19011:2011 informativer Anhang A.4 gibt für Auditoren von Qualitätsmanagementsystemen einen Hinweis für disziplinspezifisches Wissen und Fertigkeiten betreffend Risikobewertungsmethoden, d.h. Risikoerkennung, -analyse und -bewertung.
 
Lesen Sie in Teil 6 mehr zu den wesentlichen inhaltlichen Änderungen der ISO 9001:2015.
 
Hinweis: Der Inhalt dieses Artikels, der sich als informativer Überblick versteht, wurde mit Sorgfalt erstellt. Die externen Links waren zum Zeitpunkt der Artikelerstellung aktiv. Nach der Veröffentlichung sind Änderungen möglich. Wir übernehmen keine Haftung und die Geltendmachung von Ansprüchen jeglicher Art ist ausgeschlossen.

Weitere Details:
→ www.iso.org
→ www.beuth.de
→ ISO/TC 176/SC2 N1222, July 2014, Risk in ISO 9001:2015
→ ISO/TC 176/SC2 N1221, July 2014, Risk Based Thinking
Risikomanagement Teil 1: Risikomanagementprozess
Risikomanagement Teil 2: Risikokontext / Risikofelder klären
Risikomanagement Teil 3: Risiken beurteilen – ermitteln, analysieren und bewerten
Risikomanagement Teil 4: Risiken bewältigen / behandeln / steuern
Risikomanagement Teil 5: Übergeordnete Elemente des Risikomanagementprozesses
 
Kirsch Managementsysteme Interim Management & Consulting zu Qualität, Risiko und Energie in Niestetal, Kassel, Hessen - Wertschoepfung steigern. Ganzheitlich. Nachhaltig.

Comments are closed.